Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 22.

Rootkit.win32.tdss.d (заявка № 65703)

  1. #1
    Junior Member Репутация
    Регистрация
    02.01.2010
    Сообщений
    14
    Вес репутации
    26

    Thumbs up Rootkit.win32.tdss.d

    Здравствуйте, Господа

    Обращаюсь к Вам со следующей проблемой. Недавно мой компьютер был заражен программой-вымогателем (требовал отправить смс K706413900 на номер 4460 якобы для программы download master). После обращения в службу поддержки своего провайдера был получен код для деактивации программы (вводился в поле "введите код").

    После удаления была установлена и зарегистрирована последняя версия Антивируса Касперского 2010. Была выполнена быстрая проверка, все прошло нормально.

    По прошествии 2-х дней при очередном сканировании системы был обнаружен вирус Rootkit.win32.tdss.d. Поначалу Антивирус Касперского рекомендовал перезагрузку системы (для завершения удаления вируса). Однако, вирус при повторном сканировании оставался в системе. Позже антивирус при обнаружении данного вируса стал приводить к зависанию компьютера (вне зависимости от выбора варианта лечения вируса).

    Пробовал удалить вирус утилитами TDSSKiller.exe и Rootkit.Win32.TDSS remover. Использование этих программ также приводит к зависанию компьютера.

    Решил обратиться к Вам за помощью, в прикрепленных файлах вся необходимая информация (в соответствии с правилами форума).

    Перед диагностикой делал все, что указано в правилах:
    1. Антивирус Касперского с последними БД, однако проверку не удалось провести, т.к. компьютер зависает после обнаружения вируса
    2. Пробовал проверить компьютер с помощью утилиты CureIt!, однако она также виснет.
    3. Восстановление системы отключил
    4. Последнее требования перед диагностикой тоже выполнил (пункт №6)

    Надеюсь на Вашу помощь.
    С уважением, Дмитрий Масленников

    P.S. С Наступившим Новым годом!!!
    Вложения Вложения

  2. Реклама
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    195
    Выполните скрипт в avz
    Код:
    begin
    DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\winpg.dll','');
     QuarantineFile('0.exe','');
     QuarantineFile('c:\windows\system32\aswl2k.exe','');
     DeleteFile('0.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\WOW\boot','previousProjectorProcessID');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    SetAVZPMStatus(True);
    RebootWindows(true);
    end.
    ПК перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте еще такой лог:
    http://virusinfo.info/showthread.php?t=40118.


    Сделайте новые логи.

  4. #3
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,573
    Вес репутации
    2915
    + к snifer67

    Перед повторными логами обновите базы AVZ
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  5. #4
    Junior Member Репутация
    Регистрация
    02.01.2010
    Сообщений
    14
    Вес репутации
    26
    Скрипт выполнил, когда компьютер начал перезагружаться (закрылись все окна, остался один рабочий стол) произошло зависание.

    Карантин пустой, программа по какой-то причине не смогла скопировать в него подозрительные файлы.

    Новые логи в прикрепленных файлах.

    Пробовал запустить программу Gmer, но она вылетает с сообщением об ошибке.
    Вложения Вложения

  6. #5
    Junior Member Репутация
    Регистрация
    02.01.2010
    Сообщений
    14
    Вес репутации
    26
    Обновил БД AVZ. Логи прилагаются.
    Вложения Вложения

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    195
    Сделайте такой лог http://virusinfo.info/showthread.php?t=58309

  8. #7
    Junior Member Репутация
    Регистрация
    02.01.2010
    Сообщений
    14
    Вес репутации
    26
    ComboFix не запускается, пробовал переименовать, все равно виснет...

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    195
    Просканируйте ПК http://www.freedrweb.com/cureit/?lng=ru

  10. #9
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,573
    Вес репутации
    2915
    В каком файле находит Rootkit.win32.tdss.d?
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  11. #10
    Junior Member Репутация
    Регистрация
    02.01.2010
    Сообщений
    14
    Вес репутации
    26
    Утилитой Dr.Web CureIt! опять не получилось просканировать компьютер. Зависает при попытке начать сканирование.

    Rootkit.win32.tdss.d находится в системной памяти.

    Добавлено через 2 минуты

    Как понимаю, скорее всего руткит является одним из компонентов программы-вымогателя.
    Последний раз редактировалось DmitryMaslennikov; 02.01.2010 в 12:52. Причина: Добавлено

  12. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    195
    c:\windows\system32\drivers\atapi.sys - замените на чистый из дистрибутива.

  13. #12
    Junior Member Репутация
    Регистрация
    02.01.2010
    Сообщений
    14
    Вес репутации
    26
    Не могу найти подходящий дистрибутив. Смотрел на диске Windows XP, Где можно взять или скачать данный файл? Смотрел через поисковые системы, многие ищут этот файл, но нет ни одной подходящей ссылки...

  14. #13
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,662
    Вес репутации
    2817
    Скачайте Live CD Dr.Web http://www.freedrweb.com/livecd/ и пролечите машину. Лечение зараженного драйвера пройдет на автомате.
    Наша служба, будто сердце, отдыха не знает никогда.

  15. #14
    Junior Member Репутация
    Регистрация
    02.01.2010
    Сообщений
    14
    Вес репутации
    26
    Загрузил систему с Live CD Dr.Web, выполнил проверку. Было обнаружено несколько вирусов (идентифицированы как WIN.WORM), а также некоторые файлы программы hijack были определены как зараженные...

    После проверки ничего не изменилось, Антивирус Касперского по прежнему находит данный руткит в системе, компьютер виснет в ходе проверки.

  16. #15
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    195
    Касперский находит вирус в файле или в системной памяти ?

  17. #16
    Junior Member Репутация
    Регистрация
    02.01.2010
    Сообщений
    14
    Вес репутации
    26
    В числе обнаруженных файлов не было драйвера c:\windows\system32\drivers\atapi.sys, можно его как-нибудь восстановить другим способом?

    Добавлено через 35 секунд

    Касперский находит вирус в системной памяти...

    Добавлено через 2 минуты

    При анализе через AVZ под подозрение попали файлы cpadvai.dll и icuuet.dll (потенциальные кейлогеры или троянские DLL).

    Добавлено через 2 минуты

    Читаю темы в сети, там говорится, что можно восстановить данный файл (c:\windows\system32\drivers\atapi.sys) в DOS (copy D:\i386\atapi.sy_ C:\winnt\system32\drivers\atapi.sys). Так ли это? Или не поможет?

    Добавлено через 3 минуты

    Может установить SP3 (для Windows XP)?
    Последний раз редактировалось DmitryMaslennikov; 02.01.2010 в 21:07. Причина: Добавлено

  18. #17
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    195
    c:\windows\system32\drivers\atapi.sys - замените на файл в аттаче.
    Вложения Вложения
    • Тип файла: rar atapi.rar (49.8 Кб, 153 просмотров)

  19. #18
    Junior Member Репутация
    Регистрация
    02.01.2010
    Сообщений
    14
    Вес репутации
    26
    Захожу с другого компьютера.

    Переустановил указанный файл, в системе произошли изменения.

    Однако начало вылезать сообщение с предложением активации eKAV Antivirus (отправить смс К204414900 на номер 4460). Контрольная панель, редактор реестра, а также любые антивирусные программы невозможно запустить, на этот форум тоже невозможно зайти с зараженного компьютера.

    Добавлено через 5 минут

    Кстати, может кому поможет, некоторые коды для активации может выслать служба поддержки компании А1 Агрегатор (смс-сервисы которой используют злоумышленники). Телефон поддержки 8-800-555-01-02. Первый раз они помогли, назвали код сразу, сейчас сказали, что можно только отправить заявку на обработку запроса.

    Добавлено через 1 час 56 минут

    Методом перебора кодов, подобрал код к программе. Компьютер перезагрузился, вроде все опять нормально стало. При проверке Антивирусом Касперского опять обнаружился руткит rootkit.win32.tdss.d. Попытка удалить его не увенчалась успехом.

    Добавлено через 1 час 12 минут

    Определил программу-вымогатель, ей оказался вирус packed.win32.krap.w.

    Снова попытался заменить файл atapi.sys при включенном Касперском, после замены файла через 2-3 секунды антивирус начал ругаться, что файл заражен руткитом rootkit.win32.tdss.y (после замены незначительно меняется размер файла).

    Утилита CureIt! не работает, но просканировал систему Rootkit.Win32.TDSS remover.

    В общем, состояние компьютера аналогичное тому, что было до обращения на форум...

    Добавлено через 42 минуты

    Обновил файл atapi.sys в безопасном режиме. После обычной загрузки сравнил размер с исходным файлом, все совпадает. Делаю сканирование Касперским, выдает ошибку, что опять найден rootkit.win32.tdss.d.

    Пробовал запускать утилиту TDSSKiller.exe, на строке с сообщением, что в файле atapi обнаружен руткит она виснет.

    Подскажите, пожалуйста, чем опасен данный руткит, какие уязвимости в системе появляются при его деятельности и как максимально заблокировать его работу, если не удается сейчас удалить?

    Добавлено через 6 минут

    Если необходимо, могу прислать новые логи...

    Добавлено через 2 минуты

    Судя по всему, дело не в самом файле atapi.sys, вирус хранится на скрытом шифрованном диске:

    http://www.drweb.com/static/BackDoor...5_aka_TDL3.pdf

    Добавлено через 19 минут

    Почитал больше информации:

    http://vms.drweb.com/virus/?i=441481

    Вопрос: Как можно заблокировать работу командных серверов руткита или удалить их из настроек вируса?

    Добавлено через 11 минут

    Обнаружил аналогичную ситуацию на англоязычном форуме:

    http://forum.kaspersky.com/lofiversi...p/t151122.html

    Может попробовать Malwarebytes' Anti-Malware?
    Последний раз редактировалось DmitryMaslennikov; 03.01.2010 в 02:25. Причина: Добавлено

  20. #19
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,466
    Вес репутации
    729
    Malwarebytes' Anti-Malware не поможет.
    Еще раз загрузитесь с LiveCD и замените c:\windows\system32\drivers\atapi.sys а также C:\WINDOWS\system32\dllcache\atapi.sys на чистые файлы из дистрибутива (попробуем так).
    + выполните скрипт в аттаче, результат c:\avz_log.txt прикрепите к сообщению
    ScanVuln.txt
    Последний раз редактировалось миднайт; 03.01.2010 в 02:50. Причина: добавлен скрипт

  21. #20
    Junior Member Репутация
    Регистрация
    02.01.2010
    Сообщений
    14
    Вес репутации
    26
    Заменил файлы в обоих директориях (drivers и dllcache)... Выполнил проверку скриптом, файл во вложениии...

    P.S. Когда заходил в систему через Live CD Dr.Web, файловый менеджер не сразу обнаружил требуемые директории в папке system32, пришлось обновить список директорий...
    Вложения Вложения

  • Уважаемый(ая) DmitryMaslennikov, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. rootkit.win32.tdss.fa
      От Saidrex в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 23.12.2010, 14:34
    2. Rootkit.Win32.TDSS cleaner, утилита для удаления троянца TDSS от eSage Lab
      От Kuzz в разделе Вредоносные программы
      Ответов: 26
      Последнее сообщение: 07.11.2010, 18:56
    3. rootkit.win32.tdss.d
      От mckinnie в разделе Malware Removal Service
      Ответов: 20
      Последнее сообщение: 29.04.2010, 09:37
    4. Rootkit.Win32.TDSS.d / BackDoor.Tdss.565
      От Shanna в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 24.01.2010, 17:42
    5. Rootkit.Win32.TDSS.a
      От graybk в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 14.06.2009, 11:24

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01664 seconds with 23 queries